Site à tester

Nos experts testeront vos sites avec attention.
Postez ici vos liens. Et fournissez les accès de bases (login et mot de passe 'simple utilisateur' par exemple si vous souhaitez voir ce qu'un utilisateur peux exploiter)

Moderators: Mod, Mod, Mod

Site à tester

Postby SAVORY » Mon Mar 26, 2012 8:29 am

Bonjour,

Pourriez vous tester ce site :
http://www.carteonline.org

Fichier prouvant que ce site nous (Sylvie38) appartient :
http://www.carteonline.org/hackbbs.html

Compte : hackbbs
Password : hackbbs

Serveur dédié, en grande partie virtualisé sur 3 machines, vous pouvez également tester le serveur (OVH) ( 87.98.171.140 - carteonline.org / 91.121.33.110 - aire.carteonline.org / 94.23.234.151 (Proxmox) )

Merci de vos conseils, et de vos tests :)
Last edited by SAVORY on Tue Mar 27, 2012 7:05 am, edited 1 time in total.
SAVORY
Projets
 
Posts: 5
Joined: Mon Mar 26, 2012 8:25 am

Postby RIPTIDE » Mon Mar 26, 2012 6:53 pm

Alors, il y a une erreur SQL lorsque l'on modifie le champ 'avatar_select' (en changeant d'avatar)
[code:1:89c858ead6]
[phpBB Debug] PHP Notice: in file /includes/functions_user.php on line 2386: getimagesize(./images/avatars/gallery/Amour/index.php): failed to open stream: No such file or directory[/code:1:89c858ead6]

On peut heberger des images erronées
http://hosting.carteonline.org/img/1332784313-a.png

Autrement dit, j'ai rien trouvé d'interessant .
User avatar
RIPTIDE
Projets
 
Posts: 41
Joined: Thu Apr 21, 2011 3:11 pm

Postby TorTukiTu » Tue Mar 27, 2012 8:21 am

Fais attention à ton phpBB et à ton livre d'or pour les 0-day.

aire.colorpseudo.html?sid=437d5d8e752074e95187e0a6a1949c32

On ne passe JAMAIS les identifiants de session via GET.

Sinon, RAS.

Tortue 974.
User avatar
TorTukiTu
Site Admin
 
Posts: 1960
Joined: Thu Feb 07, 2008 10:24 pm
Location: Devant son pc durant la redaction de ce message

Postby SAVORY » Tue Mar 27, 2012 1:42 pm

Bonjour,

Le site utilise les fonctions de phpBB (en page principale), je pense que c'est à cause des sessions PHPBB qui sont transportées d'une page à l'autre, or qu'elles sont bien contenu dans $_SESSION.

Merci 8)

Si vous en avez d'autres, je suis preneur.

Les fonctions CURL ont été réactivés (php.ini) puis à un moment donné un tunisien à fait sa petite visite, en infectant de backdoor, modification de commande (ls, top, etc rootkit) j'ai donc nettoyé proprement la machine en réinstallant les paquets compromis, je n'ai jamais vraiment consulté les logs Apache pour me faire une idée de la faille exploitée. J'ai donc désactivé les fonctions les plus dangereuses dans php.ini (system(), exec(), curl() et bien d'autres). Il y en a une obligatoirement de faille, qui lui a permis de placer un Shell-PHP SSH.
SAVORY
Projets
 
Posts: 5
Joined: Mon Mar 26, 2012 8:25 am

Postby SAVORY » Tue Mar 27, 2012 1:51 pm

Si besoin, j'ai 2 GigaOctets de logs Apache. Mais à lire un par un, c'est très compliqué.
SAVORY
Projets
 
Posts: 5
Joined: Mon Mar 26, 2012 8:25 am

Postby RIPTIDE » Tue Mar 27, 2012 6:40 pm

Avec une backdoor et un minimum d'intelligence il a sûrement effacé les logs de l'attaque en elle même, mais si tu peux trier les logs pour avoir approximativement la semaine de l'attaque (et éviter de lire 2go de logs) je serai curieux de voir ça .
User avatar
RIPTIDE
Projets
 
Posts: 41
Joined: Thu Apr 21, 2011 3:11 pm

Postby TorTukiTu » Wed Mar 28, 2012 5:41 am

[quote:6a968779c6]puis à un moment donné un tunisien à fait sa petite visite ... Il y en a une obligatoirement de faille, qui lui a permis de placer un Shell-PHP SSH[/quote:6a968779c6]

Typiquement, ce type de gars a le QI d'une huitre. Il est probable qu'il ait exploité une vulnérabilité connue dans un de tes scripts (phpBB, ton livre d'or etc...).

Faudrait faire un tour plus en profondeur à l'occasion, mais si tu as les logs, ça pourrai nous simplifier la vie.

[quote:6a968779c6]je pense que c'est à cause des sessions ... or qu'elles sont bien contenu dans $_SESSION. [/quote:6a968779c6]

C'est pas ça que je t'ai dit... Je t'ai dit de ne pas les passer en GET, au mois, envoie les en POST.

[quote:6a968779c6]Apache Tomcat/6.0.29[/quote:6a968779c6]
Ton tomcat n'est pas à jour. Il existe des vulnérabilités rendues publique pour cette version.

[quote:6a968779c6]hxxp://aire.carteonline.org/[/quote:6a968779c6]

Je tombe sur la page par défaut de tomcat.

XSS persistente possible dans ton script de changement de couleur à
[quote:6a968779c6]hxxp://www.carteonline.org/aire.colorpseudo.html[/quote:6a968779c6]
On peut injecter du HTML dans la couleur. Regarde le compte hackbbs pour voir le résultat. L'impact est limité, car l'affichage de la couleur ne semble avoir lieu que dans les cas où l'utilisateur est logué.


Tortue 974.
User avatar
TorTukiTu
Site Admin
 
Posts: 1960
Joined: Thu Feb 07, 2008 10:24 pm
Location: Devant son pc durant la redaction de ce message

Postby SAVORY » Wed Mar 28, 2012 9:50 am

1) Pour le tunisien, à vrai dire, c'est pas super important.

2) Le passage de la session est réalisé par la reprise de la fonction "append_sid" de phpBB3.
http://wiki.phpbb.com/Function.append_sid

3) La mise à jour de Tomcat sera faite, prochainement. J'ai juste désactivé le contexte "/" pour ne plus voir la page d'index.

4) La XSS vient d'être corrigée.
SAVORY
Projets
 
Posts: 5
Joined: Mon Mar 26, 2012 8:25 am

Postby SAVORY » Wed Mar 28, 2012 4:03 pm

Tomcat a été mis à jour.

La version utilisée a également été cachée via : lib/org/apache/catalina/util/ServerInfo.properties
SAVORY
Projets
 
Posts: 5
Joined: Mon Mar 26, 2012 8:25 am


Return to Faites tester vos sites <b>DE TEST</b>

Who is online

Users browsing this forum: No registered users and 3 guests

cron